TWI249927B

TWI249927B - Communication device, control method of communication device, program and communication method

Info

Publication number: TWI249927B
Application number: TW093108720A
Authority: TW
Inventors: Yuichi Ichikawa; Naoki Naruse; Tatsuro Oi; Nobuyuki Watanabe; Yasunori Hattori
Original assignee: Ntt Docomo Inc
Priority date: 2003-03-31
Filing date: 2004-03-30
Publication date: 2006-02-21
Also published as: CN1276320C; JP4248913B2; CN1534429A; ES2362358T3; TW200425694A; JP2004302963A; ATE508422T1; DE602004032492D1; EP1465041A3; US20040260939A1; EP1465041B1; EP1465041A2; US7421577B2

Description

1249927 ⑴ 玖、發明說明【發明所屬之技術領域】本發明係有關用以授與軟體行爲權利之技術。【先前技術】最近，已發展出許多新功能用於行動站中。此等包含例如用以經由通訊網路下載含有以Java(註冊商標）程式語言寫成之應用程式之軟體（此後，此應用程式稱爲”Java-APP，，，及軟體稱爲”Java_AP軟體，，）之功會g，以及用以執行 Java-APP之功能。軟體程式（此爲當執行Java-APP時在行動站中所達成之一群功能，軟體此後稱爲”Java-AP”）一般接受較之本機應用程式爲大之限制，此等應用程式在分配給使用者之前安裝於行動站中’並包含e郵件通訊軟體程式等（例如，參考日本專利公報10-254783號）。明確言之，通常不許可Java_AP存取機密資料，諸如行動站中所儲存之電語號碼簿資料。如此限制Java_AP之行爲之理由在防止由Java-AP(此由Java-APP達成）洩漏或僞造機密資料’含有惡意碼或碼誤差。然而，對所有Java-AP施加嚴格行爲限制造成不能滿足使用者希望使用Java-AP之各種新及有用之功能之需求。同樣，此明顯之限制亦使內容器（此後稱爲”CP”）不能提供Java-APP(此能提供各種此等功能）給使用者。在可確保此Java-APP之合理安全（可靠性）之情形 (2) 1249927 中，使用者可能不反對Java-APP可進出其所執行之行動站中所儲存之個人資料。而且，C P亦需能提供使用者較之目前情形爲多功能之Java-APP，且此等能在使用行動站中所儲存之個人資料中提供各種功能。爲滿足上述需求，有提出不同之系統，諸如以下所述者。在此例中，提供通信伺服給行動站之使用者之通訊機構授與行爲權利給Java-AP，具有較之正常所施加爲低之限制，及通訊機構通知行動站已授與Java-AP之權利型式。通訊機構正常被使用者視爲在安全上可靠，故此，在本說明中，使用’’可靠之機構”來表示。在該系統中，Java-AP之行爲限制在行動站處根據由可靠機構通知行動站之權利加以控制。然而，此系統遇到問題。即是，在使用期間中，可靠之機構通知行動站該等行爲權利，爲此，放鬆在行動站中可操作之Java-APP之限制。然後，行動站依之設定Java-AP之行爲限制。然而，可靠之機構可能需修改有關行爲權利之資訊。此爲例如回想認爲Java-AP之行爲權利放鬆對使用者具有有害之影響。此情形可包含Java-AP讀出行動站記憶器中所儲存之個人資料，並發送該資料至外部裝置，而無擁有者之同意。在此情形，可靠之機構需即時修改Java-AP之許可行爲。簡言之，爲確保資料安全，有需要（迅速）修改由可靠之機構授與Java-AP之行爲權利。考慮到此等問題，本發明提供一種系統，此能修改已 (3) 1249927 授與通訊裝置，諸如行動站之權利，反映作爲通訊裝置中之行爲限制。【發明內容】

爲決上述普通技藝之問題，本發明之目的在提供一種通訊裝置，包含：一執行裝置，用以執行軟體；一許可資料儲存裝置，用以儲存指示軟體程式之許可行爲之許可資料，此爲由執行軟體所提供之一群功能；一檢查裝置，用以在執行軟體之前，由進出外部裝置，檢查許可資料是否有效；及一執行控制裝置，用以根據檢查裝置執行檢查之結果，當決定許可資料爲有效時，許可執行裝置執行該軟體，及根據由執行裝置執行檢查之結果，當決定許可資料爲無效時，不許可執行裝置執行該軟體。

依據本發明之通訊裝置，由於在軟體執行之前，由進出外部裝置查許可資料之有效性，故可達成軟體之安全執行。在較宜之實施例中，本通訊裝置另包含一決定裝置，用以決定是否需要由檢查裝置執行檢查，決定裝置根據決定裝置所作之決定，是否執行檢查。如自上述可明瞭，在本發明之通訊裝置中，可決定是否實際需要一檢查。結果，通訊操作可較之每次執行軟體時需執行檢查之系統簡單。在另一較宜實施例中，在本通訊裝置中，該決定裝置包含：一計數裝置，用以計數軟體之執行次數；及一頻率 -8 - (4) 1249927 資料儲存裝置，用以儲存指示需如何頻繁執行檢查之頻率資料；且其中，決定裝置根據由計數裝置計數之軟體執行之次數，並根據頻率資料儲存裝置中所儲存之頻率資料，決定是否需由檢查裝置執行檢查。依據本通訊裝置，根據軟體之執行次數，執行該檢查。在另一較宜實施例中，在通訊裝置中，決定裝置包含：一計時裝置，用以提供指示現時間之時間資料；及一時間間隔資料儲存裝置，用以儲存指示需要執行檢查之時間間隔之時間間隔資料；且其中，決定裝置根據由計時器所提供之時間資料，計算現時間及在最近執行軟體時所記錄之時間之間之時間週期，並根據所計算之時間週期及時間間隔資料儲存裝置中所儲存之時間間隔，決定是否需要由檢查裝置執行檢查。如此，依據本通訊裝置，根據所決定之時間間隔，執行該檢查。在另一較宜實施例中，通訊裝置另包含計數資料儲存裝置，用以儲存指示在檢查裝置不能執行檢查之條件中許可執行軟體之次數之計數資料；及該執行控制裝置許可執行裝置在檢查裝置不能執行檢查迄至計數資料儲存裝置中所儲存之計數資料所指示之次數之條件中執行軟體。依據本通訊裝置，尤其是當通訊裝置爲與外部裝置無線通訊之行動站時，使用者可開始軟體迄至某次數，即使在例如發生某種通訊失敗之情形，通訊裝置不能執行檢查 (5) 1249927 時亦然，此在無線系統中並非不常見。在另一較宜實施例中，通訊裝置另包含一更新裝置，用以自外部裝置獲得更新資料，並根據更新資料，更新許可資料儲裝置中所儲存之許可資料。

在另一較宜實施例中，在本通訊裝置中，當檢查裝置執行檢查時，更新裝置發送指示許可資料儲存裝置中所儲存之許可資料之最近更新之時間之更新時間資料至外部裝置；接收由外部裝置反應更新時間資料之發送所發送之更新資料；及根據更新資料，更新許可資料儲存裝置中所儲存之許可資料。在另一較宜實施例中，通訊裝置另包含一終止裝置，當軟體程式欲執行不許可該軟體程式執行之行爲時，指令執行裝置終止執行該軟體。

在另一較宜實施例中，在通訊裝置中，許可資料包含有關通訊裝置之內部硬體資源，通訊裝置之外部硬體資源，軟體資源，及通訊網路資源之至少之一之使用之資訊。本發明之目的亦在提供一種用以控制通訊裝置之方法，包含：一步驟用以發送許可資料至通訊裝置，此指示一軟體程式之許可行爲’此爲由執行通訊裝置中之軟所提供之一群功能；一步驟用以在通訊裝置中執行軟體之前，由通訊裝置及外部裝置間之通訊資料’檢查許可資料是否有效；及一步驟用以僅當根據檢查結果決定許可資料爲有效時，方許可執行該軟體。 -10- (6) 1249927 本發明之目的亦在提供一種程式，用以指令電腦執行：一儲存程序，用以儲存指示由執行軟體所提供之一群功能之軟體程式之許可行爲之許可資料於儲存裝置中；一檢查程序，用以在執行軟體之前，由進出一外部裝置來檢查許可資料是否有效；及一許可程序，用以僅當根據檢查結果，決定許可資料爲有效時，方許可執行該軟體。

本發明之另外目的在提供一種通訊方法，包含一步驟用以自通訊系統發送軟體程式說明資料至通訊裝置，通訊系統包含：（a) —軟體資料提供伺服裝置，此儲存軟體資料，包含用以提供形成一軟體程式之一群功能之軟體，（b) 一管理伺服裝置，此儲存安全說明資料，包含許可資料，指示軟體程式之許可行爲，及（c) 一軟體程式說明資料提供伺服裝置，此儲存軟體程式說明資料，指示軟體資料之儲存位置及安全說明資料之儲存位置，該方法包含；一步驟用以自通訊系統發送軟體程式說明資料至通訊裝置；一步驟用以發送指示軟體程式說明資料中所含之安全說明資料之儲存位置之資料自通訊裝置至通訊系統；一步驟用以根據指示安全說明資料之儲存位置之資料，發送安全說明資料自通訊系統至通訊裝置；一步驟用以儲存安全說明資料於通訊裝置中；一步驟用以發送指示安全說明資料中所含之軟體資料之儲存位置之資料自通訊裝置至通訊系統；一步驟用以根據指示軟體資料之儲存位置之資料，發送軟體資料自通訊系統至通訊裝置；一步驟用以安裝自通訊系統發送至通訊裝置之軟體資料中所含之軟體於通訊裝置 -11 - 1249927 (7) 中；一步驟用以在通訊裝置中執行軟體之前，由通訊裝置及通訊系統間之通訊資料檢查通訊裝置中所儲存之安全說明資料是否有效；及一步驟用以僅當根據查結果，決定安全說明資料爲有效時，方許可在該通訊裝置中執行該軟體。

如上述，依據本發明，防止不應執行之軟體在通訊裝置，諸如行動站中執行，因爲由進出外部裝置檢查指示由軟體達成之程式之行爲之許可資料是否有效，並依據查結果不許開始不需要之軟體。【實施方式】以下參考附圖，說明本發明之實施例。在附圖中，公共組成件由相同編號標示。

先說明在已知之通訊系統中用以下載Java-AP軟體之行動站遵行之程序。行動站先自世界網路（此後稱爲 ” WWW”）中所含之伺服裝置接收一軟說明檔（此後稱 ” ADF”）。然後，行動站接收一 Java檔案檔（此後稱爲”JAR 檔，，）。 ADF包含取決於對應之JAR檔之資料。例如，ADF 包含顯示URL之資料，此指示JAR檔儲存之位置（此後稱爲URL包”），顯示JAR檔之大小之資料，顯示JAR檔之最後更新時間之資料等。此等資料爲ADF所不可或缺。在行動站收到 ADF後，行動站決定是否欲下載 APP，此包含於JAR檔中，可由參考ADF中所含之資 -12- (8) 1249927

料，檢查可用之記憶容量等，安裝於行動站中。當行動站決定可安裝Java-APP時，行動站使用ADF中所含之URL 包，自 WWW中之伺服裝置接收 JAR檔。當收到含有 Java-APP之JAR檔時，行動站完成下載程序。在完成下載後，下載之 Java-APP安裝於行動站中，並可執行。 ADF及JAR檔通常由CP準備，此提供Java-AP。”Java-AP軟體’’爲用以說明已知之通訊系統中之ADF及JAR檔之聯合之術語。

另一方面，當Java-APP在本實施例中下載於行動站時，首先，與行動站之使用者欲下載之Java-APP相當之 ADF移送至行動站，然後，與Java-APP相當之安全說明檔（此後稱爲”SDF”）移送至行動站，及最後，含有Java-APP之JAR檔移送至行動站。簡言之，三不同之檔案 ADF，SDF，及JAR依此順序移送至行動站。ADF及JAR 檔由 CP製備，此以與已知通訊系統相同之方法提供 Java-APP。然而，SDF由上述通訊機構遵照通訊機構及 CP間所訂之合約製備。在本實施例中，”Java-AP軟體”亦用以說明ADF，SDF，及JAR檔之聯合。 SDF爲用以說明授與行動站中所儲存之對應 Java· APP之權利範圍之檔案，及行動站遵照SDF中所述之權利範圍執行Java-APP。通訊網路中之伺服器儲存指示每一 SDF是在有效狀態或在無效狀態中之資料。在行動站執行行動站中所安裝之Java-APP之前，行動站進出上述伺服器，以確認與Java-APP相對應之SDF是有效或無 -13- (9) 1249927 效。在以下說明中，此確認程序稱爲” S D F檢查’，。如S D F 檢查之結果爲”在有效狀態”，則行動站遵照S D F中所述之權利範圍，執行Java-APP。另一方面，如SDF檢查之結果爲’’在無效狀態’’，則行動站不可執行Java-APP。

如上述，由於有關每一 SDF之有效性之狀態可在通訊網路之伺服器中改變，故通訊機構可僅由設定與Java-APP 相對應之 SDF爲在無效狀態中，容易防止在行動站中執行有害之Java-APP。 ’’有害之Java-APP”例如意爲一Java-APP可指令行動

站執行並非行動站之使用者所期望之操作，諸如讀出行動站之記憶器中所儲存之機密資料而無使用者之許可，並發送該資料至外部裝置。當通訊機構發現任何有害之Java-APP 時，通訊機構僅需設定該有害之 Java-APP 之 SDF 之狀態爲在無效狀態。例如，由於合約週期已過，或合約指示在限期內CP未付費，當CP及通訊機構間所訂之合約變爲無效，通訊機構亦可僅由設定Java-APP之SDF之狀態爲在無效狀態，使 Java-APP不執行。而且，在設置 Java-APP在特定之期間中供試驗使用之情形，當試驗使用週期已過時，通訊機構可依與上述相同之方法，使 Java-APP不執行。反之，當通訊機構要許可與SDF相對應之Java-APP 執行時，可改變設定爲在無效狀態中之SDF之狀態爲在有效狀態中。在以下說明中，爲說明CPU執行一 Java-APP，以提 -14- (10) 1249927 供一群功能，即一 Java-AP之情形，使用表示式’’達成 Java-AP” 〇 (1)組態以下說明本實施例之通訊系統之組態。

如顯示於圖1，通訊系統包含CP伺服裝置1 3，連接至網際網路 U ;行動訊包通訊網路1 5，此由通訊機構用以提供行動訊包通訊伺服至行動站；行動站1 6，此可與行動訊包通訊網路1 5無線交換資料包·，門口伺服裝置 1 7，此互接網際網路1 1及行動訊包通訊網路1 5 ;及管理伺服裝置1 8，此經由專用線路連接至門口伺服裝置17。實際上，通訊系統可包含多個行動站及多個CP伺服裝置，但爲簡單起見，圖1僅顯示行動站之一及CP伺服裝置13之一。以下詳細說明通訊系統之每一組成件。

(l-l)CP伺服裝置 CP伺服裝置13具有硬體組成件及大體WWW伺服裝置之特色。CP伺服裝置1 3之非揮發性記憶器1 3 A儲存若干JAR檔，各包含一群以Java程式語言寫成之程式，即一 Java-APP，及若干ADF，各包含有關對應JAR檔之資料。在本實施例之通訊系統中，許可一些 Java-APP，其對應之SDF並不存在。由有SDF存在之Java-APP所達成 -15- (11) 1249927

之Java_AP之行爲根據對應之SDF限制。在本說明中，此一 Java_APP稱爲”可信任之Java-APP’’，因爲其可靠性由通訊機構依通訊機構及提供Java-APP之CP間之合約保証。同樣，在本說明書中，由可信任之Java-APP達成之 Java-AP稱爲”可信任之Java-AP”。並無ADF存在之Java-APP爲已知通訊系統中所用之普通Java-APP，且在本說明書中稱爲”非可信任之Java-APP’’，因爲其可靠性並無保証。同樣，由非可信任之Java-APP所達成之Java-AP在本說明書中稱爲’’非可信任之Java-AP。CP服務裝置13可儲存可信任之Java-APP之ADF及非可信任之Java-APP 之ADF二者。

可信任之Java-APP之ADF包含與非可信任之Java-APP 之 ADF 中所包含相同之資料，諸如指示 WWW 中之 JAR檔之儲存位置之URL包，指示 JAR檔之大小之資料，指示 J A R檔之更新時間之資料等。可信任之 J a v a -APP之ADF另包含稱爲nAPID之資料，用以獨特識別可信任之Java-APP之JAR檔，及稱爲nSDF-URL之URL，用以指示W W W中之對應S D F之儲存位置。行動站1 6自 CP伺服裝置1 3獲得與可信任之Java-APP對應之ADF，並使用在ADF中所含之之SDF-URL，獲得對應之SDF。在本實施例之以下說明中，如上述，當JAR檔中所含之Java-APP爲一可信賴之Java-APP時，Java-AP軟體可意爲ADF，SDF，及JAR檔之聯合，或當Java-APP爲非可信任之Java-APP，爲ADF及JAR之聯合。 -16· (12) 1249927 (1_2)門口伺服裝置門口伺服裝置1 7由上述通訊機構管理，並具有普通門口伺服裝置之硬體組成件及特色，此互接行動訊包通訊網路及網際網路。門口伺服裝置1 7中繼行動訊包通訊網路1 5及網際網路1 1間相互通訊之資料。 (1-3)管理伺服裝置管理伺服裝置1 8由上述通訊機構管理，並具有普通 WWW伺服裝置之硬體組成件及特色。管理伺服裝置18 之非揮發性記憶器1 8 A儲存若干SDF，各與一可信任之 Java-APP對應。如上述，每一 SDF包含指示授與可信任之 Java-APP之權利範圍之資料。每一 SDF另包含指示 S D F是有效或無效之資料。在行動站1 6執行可信任之 Java-APP之前，行動站16需進出管理伺服裝置18，並檢查S D F是有效或無效。根據檢查結果，行動站1 6決定是否執行該可信任之Java-APP。圖2顯示HTTP訊息之一例，此在由管理伺服裝置1 8 提供SDF之內容給行動站16時發送。該線由圖2所示之”內容型式”開始，此爲指示HTTP 之實體本身之型式之場。在此情形，該場包含 ”application/x-sdf”之參數，此指示實體本身與 SDF有關。參數”Sts”用以指示SDF是有效或無效，並在以下說 -17- (13) 1249927 明中稱爲”SDF狀態”。當SDF狀態爲”〇〇,，時，此意爲SDF 有效，及當SDF狀態爲”10”時，此意爲Sdf無效。例如’在圖 2所不之例中’由於參數” s t s ”爲，，〇〇，，，故 s D F 有效。參數"URL包"與上述ADF中所含之URL包相同。參數’’ C h e c k C n f’’用以指示迄至行動站可連繼執行可信任之Java-APP而不執行SDF檢查之次數，及在以下說明中，該次數稱爲’’ S D F檢查之計數”。自不同之觀點言之，

S D F檢查之計數爲頻率資料，顯示行動站需要如何頻繁執行SDF檢查。在本實施例中，例如，S D F檢查之計數爲1及9 9 9間之整數之一。在圖2所示之例中，參數’’checkCnt，，爲 ” 005 ”，且此意爲行動站16可連續執行可信賴之java_ APP5次，而無需執行一 SDF檢查。

參數’’Checklnt”用以指示當應執行SDF檢查時，該等時間之間之時間間隔，並在以下說明中稱爲’’ S D F檢查之間隔”。更具體言之，S D F之間隔意爲在上次S D F檢查後，行動站16可執行可信任之Java-APP而不執行一 SDF 檢查之期間中之日數。在本實施例中，例如，S D F檢查之間隔爲1及999間之整數之一。在圖2所示之例中，參數 ” Check Int”爲”020”，及此意爲一旦行動站1 6執行一SDF 檢查後，行動站16可在20日中執行可信任之Java-APP 而不執行一 SDF檢查，但在上次SDF檢查後’當過去20 曰時，行動站1 6需執行一 SDF檢查，然後執行可信任之 Java-APP。 -18- (14) 1249927 參數”Suspend edCnt”用以指示在行動站不能執行一 S D F檢查之情形中，迄至行動站1 6可連續執行可信任之 Java-APP之次數，且該次數在以下說明中稱爲”SDF之展延計數。

行動站1 6無線進出管理伺服裝置1 8，並執行SDF檢查。故此，當例如行動站1 6在行動訊包通訊網路1 5之伺服區以外時，即是當此無法而達，或當發生通訊失敗時 (此較之電纜通訊更常發生於無線通訊中），行動站1 6不能執行 SDF檢查。故此，如無類似” SuspenedCnt”之參數，則由於暫時通訊失敗等，當使用者欲使用時，可能無法使用可信任之Java_APP，此極不方便使用者。爲避免此不方便，在本實施例中，容許行動站連續執行有限次數之可信任之Java-APP，而不執行一 SDF檢查，即使由於不能到達或在通訊失敗，當行動站不能執行S D F檢查時亦然。在本實施例中，例如，SDF檢查之展延計數爲在1 及 999間之整數之一。在圖 2所示之例中，參數 ” SuspendedCnrln 005’’，且此意爲行動站16可連續執行可信任之Java-APP迄至5次，而不執行一 SDF檢查，即使不能執行一 SDF檢查亦然。參數’’ L m d ”用以指示當s D F上次在管理伺服裝置1 8 中更新時之時間及日期，及該時間及日期在以下說明中稱爲”上次更新時間”。在圖2所示之例中，參數” L m d ”爲 20020614120552’’，且此意爲SdF上次在2002年6月14 -19- (15) 1249927 曰1 2點過5分及52秒更新。上次更新時間由管理伺服裝置18用以決定是否需反映SDF之更新內容於行動站16 之資料中。參數 ’’GetPrivatelnfo”，’’UserMail”，’’MessageApp’1 ’ ’’SetPhoneTheme”。"SetLaunchTime’’，及 ’’AllowedHost” 用以指示授給在行動站16中執行之可信賴之Java-APP之權利範圍，且此等在以下說明中稱爲”許可資料’’。例如，參數’’ G e t P r i v a t e I n f 〇 ”用以指示由可信任之 Java-APP達成之可信任之Java-AP是否可使用可信任之應用程式介面（此後稱爲”可信任之API”），當需要參考行動站1 6中所儲存之機密資料，諸如電話號碼簿資料及未讀出之e郵件時，此由Java-AP絕對必需叫出。當可信任之 Java-AP可讀出機密資料時，設定”GetPrivatelnfo”於’’ 是’’。同樣，參數’’UserMail” ， ’’MessageApp” ， "SetPhoneTheme”，及”SetLaunchTime”用以指示可信任之 Java-AP是否可叫出可信任之 API，各相當於各別參數，且當許可時，設定參數爲’’是”。在圖2所示之例中，所有參數設定爲”是”，且此意爲可信任之Java-AP可召用對應之可信賴之API。參數A11 〇 w e d Η 〇 s t"用以指示通訊裝置之U R L，許可行動站進出此，同時在行動站中執行可信任之 Java-APP，且在以下說明中，該等URL稱爲”進出許可URL”。下載於行動站1 6之Java·APP通常遵照一般稱爲砂匣模型之一安全模型執行。依據砂匣模型，在行動站1 6執 -20- (16) 1249927

行J a v a - A P P之期間中，許可行動站i 6僅與一伺服器通訊，自此下載APP。在此嚴格限制下，難以提供各種應用程式給行動站16之使用者。故此，在本實施例中’當執fT可任之J a v a - A P P時，許可行動站1 6與先指定之一些外部通訊裝置，以及伺服器（自此下載可信賴之 J a V a - A P P )通訊。參數’’A11 〇 w e d Η 〇 s t ”顯示外部通訊裝置（行動站可與之通訊）之U R L。在圖2所示之例中，該參數顯示許可行動站與外部通訊裝置通訊，其URL包含”http: "aaa.co.jp ”或 ’’http : //bbb.co.jp”，使用埠口” 80 8 0 ”。

當進出許可之U R L之爹數設定爲”任何”時，此意爲許可行動站與任何外部通訊裝置通訊，同時執行可信任之 Java-APP 〇如遵照參數’，任何丨，，許可行動站與任何外部通訊裝置通訊，則由於難以保持行動站中所儲存之資料安全，故亦可指定一些外部通訊裝置之URL，不許可行動站與此通訊。準備參數"DisallowedHost”供此用，及不許可與行動站通訊之外部通訊裝置之URL設定於此參數中，此稱’’進出禁止URL”。 (1 - 4 )行動站如顯示於圖3，行動站1 6包含操作系統（此後稱爲 ”0S”）軟體；R0M16A，此儲存 Java環境程式，用以建造使 Java-APP可操作之一環境，及若干其他本機應用程式；CPU16B，此執行ROM 16A中所儲存之程式；顯示單 16C ;非揮發性記憶器16D ; RAM16E ;通訊單位16F，操 -21 - (17) 1249927 作單位1 6G ;及計時器1 6H。此等組成件經由資料匯流排相互連接。顯示單位1 6 C包含例如液晶顯市板及板驅動電路，並遵照由C P U 1 6 B所提供之資料’顯不影像。通訊單位1 6 F 包含天線及無線通訊單位’與行動訊包通訊網路1 5無線通訊，並中繼資料包於c p u 1 6 B及行動訊包通訊網路1 5 之間。通訊單位16F包含CODEC，微音器及揚聲器用於聲音通訊，並使行動站1 6能經由行動電話網路（未顯示）執行語音通訊，此具有線路切換系統。操作單位1 6 G包含硬體，諸如供使用者操作之鍵墊’並依據使用者所作之操作，提供C P U 1 6 B —些信號。計時器1 6 Η保持現年’ 月，日期，及時間（此後僅稱爲’’現時間”）。爲使計時器 1 6Η保持正確之現時間，行動站1 6可使用控制波道，定時自行動訊包通訊網路1 5中之基地站（未顯示）接收指示精確之現時間之資料，並調整由計時器 1 6Η保持之時間。非揮發性記憶器1 6 D例如爲靜態隨機進出記憶器 (SRAM)或可電抹消及可程式僅讀記憶器（EEPROM)。非揮發性記憶器1 6D儲存自 WWW中所含之伺服器下載之 Java-AP 軟體。以下詳細說明可信任之 Java-ΑΡ軟體之 ADF及 SDF，此等儲存於非揮發性記憶器1 6D中。圖4顯示依據可信任之Java·AP軟體之圖2所示並儲存於非揮發性記憶器16D中之ADF及SDF產生之資料之 -22- (18) 1249927

例。如顯示於圖4，非揮發性記憶器1 6D中所儲存之資料包含一資料場”執行次數”，一資料場”過去日數”，及一資料場”SDF檢查之已用之展延計數”，此等分別相當於’’SDF 檢查計數’’，"SDF檢查間隔”，及”SDF檢查之展延計數，，〇執行次數指示在最近執行S D F檢查後，行動站1 6執行可信任之Java-ΑΡΡ之次數。在執行次數到達SDF檢查之計數，即在圖4所示之情形之例中之5後，行動站1 6 決定在其下次執行可信任之Java-APP之前，需要先執行一 S D F檢查。過去日數指示在行動站1 6最近執行一 S D F檢查後，過去之一時期’即日數。根據由計時器16 Η保持之時間，不斷計算過去之日數。在過去之日數到達SDF檢查之間隔，即在圖4所示之情形之例中之2 0後，行動站1 6 決定需要執行一 SDF檢查，然後執行次回之可信任之 Java-APP。SDF檢查之已用之展延計數意爲當需要SDF 查時，由於行動站1 6不能執行一 s D F檢查，行動站1 6 執行可信賴之Java-APP而不完成SDF檢查之次數。在 SDF檢查之已用之展延計數到達SE)f檢查之展延計數，即在圖4所示之實例情形中之5後，行動站1 6除非成功完成SDF檢查，否則，不執行可信任之java-APp。虽行動站1 6之電源（未顯示）接通時，c P U 1 6 B讀出 ROM 16A中所儲存之〇S程式，並使用raMI 6E作爲工作區，執行〇 S程式。遵照〇 s程式之指令，c p U 1 6 B在行動 -23- (19) 1249927 站1 6中建立0 S環境，如顯示於圖5。在建立0 S環境後，CPU 16B能根據由操作單位16G所提供之信號，識別由使用者所提供之指令，並依據指令執行所需之資料處理。以下當使用諸如"0 S執行操作”之說明時，此意爲 C P U 1 6 B遵照由 Ο S程式所提供之指令，執行操作。同樣，當使用諸如’’軟體執行操作’’之說明時，此意爲 CPU 16B遵照由應用程式所提供之指令，執行應用程式及執行操作。圖5所示之若干軟體，如Java-APP，Java軟體管理器（此後稱爲JAM)，及電話號碼簿AP爲此等軟體之例。當使用者指令行動站1 6執行一通訊程式（此爲本機應用程式之一）時，〇 S開始該通訊程式，並在行動站1 6中達成一通訊AP。一旦達成通訊AP時，使用者能執行語音呼叫至一外部通訊裝置。當使用者指令行動站1 6執行電話號碼簿程式（此亦爲本機應用程式之一）時，0 S開始電話號碼簿程式，並在行動站1 6中達成電話號碼簿程式。使用者能由使用電話號碼簿A P，使行動站1 6顯示，使用，及編輯非揮發性記憶器1 6D中所儲存之電話號碼簿之資料（此後稱爲電話號碼簿資料）◦當使用者指令行動站1 6執行網路瀏覽器程式（此亦爲本機應用程式之一）時，0 S開始網路瀏覽器程式，並在行動站1 6中達成網路瀏覽器。當使用者指令行動站1 6執行JAM程式（此亦爲本機 -24- (20) 1249927 應用程式之一）時，os開始JAM程式，並在行動站16中達成JAM。JAM顯示使用者Java-APP之一淸單，此安裝於行動站1 6中，並執行使用者選擇之J a v a - A P P之一。更具體言之，如由使用者所提供之指令爲要求開始Java-APP之一，則先執行一 Java-AP環境程式，以建立java_ AP環境於行動站1 6中，然後執行由使用者所選擇之 Java-APP，俾在 Java-AP 環境中達成 Java-AP。Java-AP 環境包含例如K虛擬機器（KVM)，此爲一輕型java虛擬機器，經調整用於行動通訊裝置，諸如行動站 1 6及 API，此等對 Java-AP提供若干功能。準備用於 Java-AP 之API分類爲可信任之API，僅許可可信任之Java-AP，即由可信任之Java-APP達成之Java-AP使用此，及許可所有Java-AP使用非可信賴之Java-API。 JAM另提供用以管理Java-AP之行爲之功能。例如，當JAM收到執行Java-APP之要求時，JAM決定有關Java-APP之SDF是否需要SDF檢查，且如JAM 決定需要SDF檢查，則此執行SDF檢查。爲此，JAM提供用以產生及更新指示SDF檢查之執行次數，過去之曰數，及用過之展延計數之資料之功能，此等儲存於非揮發性記憶器1 6 D中。然而，當S D F檢查之結果指示S D F爲有效，則 JAM許可執行 Java-APP，並在達成 Java-AP 後，JAM依據SDF中所含之許可資料，限制Java-AP之行爲。另一方面，當SDF檢查之結果指示SDF爲無效，貝丨j JAM並不許可執行Java-APP。當JAM根據SDF之檢查 - 25- (21) 1249927 結果，決定需要更新SDF時，則JAM再進出管理伺服裝置1 8，獲得更新之SdF，並更新行動站1 6中所儲存之資料。 (2)操作以下說明上述組態之通訊系統之操作。 (2-l)Java-APP 之安裝當JAM收到來自網路瀏覽器之用以下載java-APP之要求時，JAM開始一串程序，用以安裝Java-APP於行動站1 6中。圖6顯示程序之流程。如顯示於圖6，JAM先下載來自CP伺服裝置13之與欲下載之Java-APP相對應之ADF(步驟SI 1)。更具體言之，JAM產生含有ADF-URL之一 HTTP申請，發送HTTP 申請至CP伺服裝置13，並接收來自CP伺服裝置13反應該HTTP申請之含有ADF之HTTP回覆。在此程序中， HTTP申請中所含之 ADF-URL可由使用者手動輸入，或由使用者自以超文件標示語言（此後稱爲’’HTML”）說明之網頁中所埋置之侯選URL選擇。JAM指令非揮發性記憶器16D儲存所下載之ADF中所含之資料，諸如APID， URL 包，及 SDF-URL，ADF-URL，如顯示於圖 4。其次，J A Μ根據非揮發性記憶器1 6 D中所儲存之 ADF之資料，決定是否可下載及安裝Java-APP於行動站 1 6中（步驟S 1 2)。JAM可依與已知系統相同之方法，執行 -26 - (22) 1249927 該決定，諸如比較ADF中所指示之jar檔之大小及欲儲存J A R檔之非揮發性記憶器〗6 d可用之自由空間。如JAM決定可安裝（步驟s 12 ;是），則JAM決定欲下載之Java-APP是否爲可信任之java_APP或非可信任之 Java-APP(步驟S13)。更具體言之，jAM檢查APID及 SDF-URL是否包含於在步驟sil所儲存之資料中，且如包含，則JAM決定是否有與java„APP相對應之一 SDF，此意爲Java-APP爲可信任之java-App。反之，如不含 APID及SDF-URL，貝ij JAM決定Java-APP爲非可信任之 Java-APP。現假設下載之 ADF中含有 APID及 SDF-URL，且JAM決定欲下載之Java-APP爲可信任之Java-APP(步驟 S13 ;是）。 JAM接收來自管理伺服裝置18之與可信任之 Java_ APP相對應之SDF(步驟S14)。更具體言之，JAM建立管理伺服裝置18間之一 TCP連接，產生含有自ADF獲得之 SDF-URL之HTTP申請，發送該HTTP申請至管理伺服裝置18，接收反應該HTTP申請之HTTP回覆（參考圖2)，並中斷TCP連接。 J A Μ確認所接收之S D F是否含有適當之資料（步驟 S1 5)。更具體言之，JAM檢查所接收之SDF是否遵照特定格式說明，檢查非揮發性記憶器1 6D中所儲存之SDF 及AP ID中所含之AP ID是否符合等，及所有查結果均爲肯定，JAM決定所接收之SDF包含正確之適當資料（步驟 S 1 5 ;是）。然後，JAM指令非揮發性記憶器1 6D儲存 -27- (23) 1249927 SDF中所含之資料，如顯示於圖4。 JAM下載來CP伺服裝置13之JAR(步驟S 16)。更具體言之，JAM產生一 HTTP申請，含有非揮發性記憶器 16D中所儲存之URL包，發送HTTP申請至CP伺服裝置 13，並接收來自CP伺服裝置13反應HTTP申請之含有 LAR檔之HTTP回覆。 JAM指令所接收之JAR檔儲存於非揮發性記憶器 16D中，並遵照用以安裝 Java-APP之正常程序，安裝 JAR檔中所含之可信任之Java-APP，（步驟S17)。然後， JAM通知使用者成功完成該安裝（步驟S18)。在安裝完成後，當執行可信任之Java-APP時，JAM 監視由Java-APP達成之可信任之Java-AP之行爲，並依 SDF中所含並儲存於非揮發性記憶器1 6D中之許可資料，限制可信任之 Java-AP於僅使用特定之可信任之 API。在上述程序中，當決定不能安裝 Java-APP時（步驟 S12 ;否），或當SDF不含適當之資料時（步驟S15 ;否）， JAM通知使用者安裝失敗（步驟20)，並恢復行動站16中之軟體組態至步驟S 1 1前之狀態。在上述程序之期間中，當決定欲安裝之Java-APP爲非可信任之Java-APP時（步驟S13 ;否），JAM依據ADF 中所含之URL包，遵照普通程序，下載來自CP伺服裝置 13之JAR檔（步驟S 19)，並遵照用以安裝Java-APP之正常程序，安裝JAR檔中所含之非可信任之Java-APP (步驟 (24) 1249927 S17)。然後，JAM通知使用者成功完成該安裝（步驟 S 1 8) 〇

(2_2)開始 Java-APP 以下參考圖7，說明開始Java-APP之操作。

當JAM收到來自使用者要求開始Java-APP時，JAM 決定欲開始之Java-APP是可信任之Java-APP或非可信任之Java-APP(步驟S31)。當決定欲開始可信任之Java-APP 時（步驟S3 1 ;是），JAM決定是否需要SDF檢查（步驟 S3 2)。更具體言之，JAM檢查非揮發性記憶器16D中所儲存之資料，並當執行次數大於SDF檢查之計數時，或當過去之日數大於SDF檢查之時間間隔時，決定需要 SDF檢查。反之，當二條件滿足時，jam決定無需SDF 檢查。

例如，依據圖4所示之資料，上述二條件均未滿足，故JAM決定無需SDF檢查（步驟S32 ;否）。然後，JAM 加1於執行次數，並更新非揮發性記憶器1 6D中所儲存之數（步驟S33)，並開始可信任之java-APP (步驟S34)。在由JAM如上述重覆開始同一可信任之java-APP 後，執行次數可變爲與SDF檢查之計數相同。在此情形，JAM決定需要SDF檢查（步驟S32;是），產生HTTP 申請，用以申請SDF檢查操作，並發送HTTP申請至管理词服裝置18(步驟S35)。該HTTP申請包含APID，及指系與欲開始之可信任之Java-APP相對應之SDF之上次更 -29- 1249927 (25) 新時間之資料，即參數”Lmd”之値。在收到HTTP申請後，管理伺服裝置18取出申請中之AP ID，讀出非揮發性記憶器1 8 A中所儲有APID之SDF，並檢查SDF之有效性狀態。管理置18亦取出HTTP申請中之上次更新時間，比較之上次更新時間及自非揮發性記憶器1 8 A中所 SDF中所含之上次更新時間，並決定是否需要更新 1 6中所儲存之SDF。更具體言之，如自HTTP申請出之上次更新時間較之非揮發性記憶器1 8 A中所 SDF之上次更新時間爲早，管理伺服裝置18決定新’及如一上次更新時間相同，則決定不需要更新上述決定之結果，管理伺服裝置18產生一 HTTP 含有指示S D F之有效性狀態之資料，並發送η T T P 行動站1 6，作爲S D F檢查回覆。圖8及9顯示SDF檢查回覆之例。圖8顯示SDF檢查回覆，此在SDF有效時產此情形，如顯示於圖8，參數” S t s，，之値設定爲” 〇〇 ” ”有效’’，此指示S D F之有效狀態。另一方面，圖9 SDF檢查回覆，此在SDF爲無效時產生。在此情顯示於圖9，參數” S t s "之設定爲’，1 〇，，，意爲”無突 S D F爲有效，但更新時，參數” S t s，，之値設定爲” 〇 1 ” S D F需要更新（未顯示於圖中）。當非揮發性記憶器未儲存含有自行動站1 6接收之a PID之S D F時 ’’ S t s ”之値設定爲” 9 9 ”，指示無法發現s 〇 F (未顯 HTTP 存之含何服裝所取出讀出之行動站中所取儲存之需要更。依據回覆，回覆至生。在，意爲顯示一形，如 P。當，指示 18A中，參數不於圖 -30- (26) 1249927 中）。當行動站16收到SE)f檢查回覆時（步驟S36 ;是）， JAM檢查SDF檢查回覆之內容（步驟S37)。例如，當JAM收到圖8所示之SDF檢查回覆時， JAM決定SDF爲有效（步驟s37 ;有效），淸除非揮發性記憶器16D中所儲存之執行次數，過去日數，及已用之展延計數（步驟 SS8)，並開始可信任之java-APP(步驟 S34) ° 另一方面，當JAM到收圖9所示之SDF檢查回覆時，JAM決定SDF爲無效（步驟S37 ;無效），顯示無法開始Java-APP之訊息，並恢復行動站16之軟組態至步驟 S31前之狀態（步驟S39)。當所接收之SDF檢查回覆指示更新之SDF時，JAM 決定非揮發性記憶器1 6D中所儲存之SDF需要更新（步驟 S537;更新），並執行更SDF之程序（步驟S40)。更具體言之，與圖6之步驟S14之操作同樣，JAM接收來自管理伺服裝置1 8之更新之SDF之資料，確認所接收之更新之S D F之資料爲適當，並儲存更新之s D F之資料於非揮發性記憶器1 6 D中。在上述操作中，如由於例如行動站1 6在無法到達之狀悲’或通訊發生失敗，J A Μ不能開始或無法完成D F 檢查（步驟S36 :否），則JAM檢查非揮發性記憶器161)中所儲存之資料，並決定SDF之已用之展延計數是否小於 SDF檢查之展延計數（步驟S41)。 -31 - (27) 1249927 當SDF檢查之已用之過展延計延計數時（步驟S41 ;是），JAM加1 展延計數’並更新非揮發性記憶器 (步驟S 4 2 )。然後，J A Μ開始可信 S34) ◦ 另一方面，當S D F檢查之已用於SDF檢查之展延計數時（步驟S41 息，即不能執行SDF檢查，及不能復行動站1 6中之軟體組態至步驟 S39) ° (2-3)使可信任之 Java-APP可操作2 實例以下參考圖1 〇，說明遵循上: Java-APP可操作之一串操作之例。在以下說明中，說明由JAM及 AP執行之操作，作爲由行動站1 6執在圖1 0中，當行動站1 6收到贫 Java-APP時，行動站16產生HTTP 下載之Java-APP相對應之 ADF ~κ HTTP申請ml至CP伺服裝置13。於反應HTTP申請ml，CP伺服覆m2，此包含對應之ADF，並發送站1 6。數小於SDF檢查之展於SDF檢查之已用之 1 6 D中所儲存之計數任之 Java-APP(步驟之展延計數等於或大 ;否），JAM顯示一訊開始 Java-APP，並恢 S 3 1前之狀態（步驟 :整個通訊系統之操作述步驟，使可信任之其他軟體，諸如Java- 行之操作。〔自使用者之申請下載申請m 1，此包含與欲匕 ADF-URL，並發送裝置13產生HTTP回 HTTP回覆m2至行動 -32- 1249927 (28) 在收到HTTP回覆m2後，行動站16儲存ADF之資料於非揮發性記憶器1 6D中。如行動站1 6決定可安裝 Java-ΑΡΡ於行動站16中，則行動站16產生HTTP申請 m3，此包含SDF之SDF-URL，並發送HTTP申請m3至管理伺服裝置1 8。在收到 HTTP申請m3後，管理伺服裝置18產生 HTTP回覆m4，此包含SDF，並發送HTTP回覆m4至行動站1 6。於收到HTTP回覆m4後，行動站16確認SDF之內容適當，並儲存SDF於非揮發性記憶器16D中。然後，行動站16產生HTTP申請m5，此包含一 URL包，並發送 HTTP申請m5至CP伺服裝置13。於反應HTTP申請m5，CP何服裝置13產生HTTP回覆m6，此包含一 JAR檔，並發送HTTP回覆m6至行動站16。JAR檔包含欲下載之可信任之Java-APP。在收到HTTP回覆m6後，行動站16儲存所接收之 JAR檔於非揮發性記憶器1 6D中，並執行用以安裝可信任之Java-APP之程序。在完成可信任之Java-APP之安裝後，當行動站1 6收到用以開始Java_APP之指令時，行動站16決定是否需要 SDF檢查，且如決定需要SDF檢查，則行動站16發送 HTTP申請m7，此包含一 APID及SDF之上次更新時間至管理服務裝置1 8，作爲S D F檢查申請。於收到HTTP申請m7後，管理伺服裝置1 8產生 -33- (29) 1249927 HTTP回覆m8，此包含指示與HTTP申請m7中所含之 AP ID相對應之SDF之有效性狀態，並發送HTTP回覆m8 至行動站16，作爲SDF檢查回覆。於收到HTTP回覆m8後，行動站16檢查SDF檢查回覆之內容。例如，當SDF檢查回覆指示需要更新SDF 時’行動站16更新SDF。即是，行動站16產生HTTP申請m9，此包含SDF-URL，並發送HTTP申請m9至管理伺服裝置1 8。於收到 HTTP申請m9後，管理伺服裝置1 8產生 HTTP回覆ml0，此包含由HTTP申請m9中所含之SDF-URL所識別之SDF，並發送HTTP回覆mlO至行動站 16 ° 於收到 HTTP回覆mlO後，行動站 16開始 Java-APP，並依更新之SDF之內容，執行Java-APP。 (2-4)在執行Java-APP期間中行動站16之行爲管理以下說明當執行上述Java-APP時，行動站16之行爲管理。

(2-4-1)非可信任之Java-AP 在依述安裝程序安裝非可信任之Java-APP於行動站 16中後，開始非可信任之Java-APP，此導致在行動站16 中達成一非可信任之Java-AP。然後’由行動站1 6執行以下行爲管理。 -34- (30) 1249927 當由非可信任之Java-AP要求使用之API爲非可信任之API時，行動站16許可非可信任之Java-AP使用非可信任之API，因爲如上述，許可由任何型式之Java-AP使用非可信任之API。簡言之，非可信任之Java-AP可召用非可信任之API。當由非可信任之Java-AP要求使用之API爲可信任之 A P I時，行動站1 6檢查與J a v a - A P對應之一 S D F是否儲存於非揮發性記憶器1 6D中。由於無與非信托之Java-APP相對應之SDF儲存於非揮發性記憶器1 6D中，故行動站16禁止非可信任之Java-AP使用可信任之API。簡言之，不許可非可信任之Java-AP召用可信任之API。

(2-4-2)可信任之 Java-AP 在可信任之Java-APP安裝於行動站16中後，開始可信任之 Java-APP，並在行動站 16 中達成一可信任之 Java-AP，由行動站16執行以下行爲管理。當由可信任之Java-AP要求使用之API爲非可信任之 API時，當然，行動站16許可可信任之Java-APP使用非可信任之API，如上述。簡言之，可信任之Java-AP可召用非可信任之API。當由可信任之Java-AP要求使用之API爲可信任之 API時，由於與可信任之Java-AP相對應之SDF儲存於非揮發性記憶器1 6D中，故行動站1 6許可信任之Java-APP 使用可信任之API。然而，在此情形，依據SDF中所含之 -35- 1249927 (31) 許可資料，限制可信任之Java_AP之行爲。例如，如許可資料中之參數” G e tP r丨v a t e 1 n f 0 Π設定爲” 是，，，則許可可信任之J a v a -A p讀出非揮發性記憶器1 6 D 中所儲存之電話號碼簿資料及含有未讀出之e郵件之資料。同時，許可可信任之J a v a - A P僅與在許可資料之參數 ” AllowedHost”中含其URL之外部裝置通訊。如上述，行動站16許可符合與可信任之Java_AP相對應之S D F中所含之許可資料中所指示之條件之可信任之Java-AP之行爲，並禁止不符合此等條件之行爲。故此，使用者可不獨可使用Java-AP於已知之系統中，即非可信任之 Java-AP，但亦可使用可信任之Java-AP，許可此等行爲較之非可信任之Java-AP更爲彈性，如此享受遠較爲大之方便程度。在本實施例之通訊系統中，行動站1 6依順序分開接收ADF，SDF，及JAR檔，此亦帶有如下之一些效果。

如上述，Java-AP軟體（各含有一 ADF及一 JAR檔）通常由CP設計及製造，及每一 CP在網際網路上之其自已位置（圖1之CP伺服裝置13)中提供其Java-AP軟給任何使用者。故此，使用者於進入CP位置，並閱讀位置之網頁上所示之其Java-AP軟體之介紹說明後，通常決定下載或不下載Java-AP軟體。當使用者決定下載某Java-AP軟體時，使用者需操作其行動站，以指令其執行下載程序。爲此，該位置之上述網頁通常包含欲下載之檔案之URL 以及錨鐵。自CP之觀點言之，最容易之方法爲埋置URL -36- 1249927 (32) 及ADF於其網頁中，因爲ADF由CP管理，且ADF之 URL爲CP所熟知。另一方面，爲埋置Sdf之URL於CP 之網頁中，CP需自通訊機構獲得URL，並保持更新 U R L。然而，如a D F，S D F，及J A R檔依此順序分開移送至行動站，則CP無需獲得，埋置，及更新Sdf之URL，此非常方便。而且，當計及用以升級已知通訊系統中之Java_AP之程序時’以特定順序移送三種檔案之上述方法可謂適當。在現使用之已知通訊系統中，當使用者要求升級java_AP 軟時，其行動站先檢查與Java-AP軟相對應之ADF中所含之資料，並使用ADF中所含之URL包，嘗試獲得JAR 檔之升級版本。即是，行動站先查ADF，然後下載目標 JAR 檔。與上述目前採用之升級Java-AP軟體之程序比較，依本實施例在通訊系統中所採用之升級J a v a - A P軟體之程序具有相似之流程。即是，在本實施例之通訊系統中，行動站先檢查 ADF，與已知系統中之方法相同，及在獲得 ADF中所含之SDF-URL後，行動站使用與已知系統相似之方法中之SDF-URL，獲得JAR檔。故此，可依本實施例引進一通訊系統，而不重大改變目前所用之系統。與以上所提之方法相較，當Java-AP軟體升級時，如依此順序移送SDF，ADF，及JAR檔至行動站中，一旦行動站獲得 ADF，則由參考前所獲得之ADF，行動站下次可獲得升級版之JAR檔，即是’無需參考最近之SDF。因爲當下載 -37- (33) 1249927 升級版之JAR檔於行動站中時，可修改Sdf，故不參考最近之S D F之升級版之J A R會引起安全問題。故此， ADF，SDF，及JAR檔應依此順序移送至行動站。 (3)修改本發明並不限於上述實施例，且此可在本發明之技術範圍內修改。以下爲此等修改之例。在上述通訊系統中，在 API方面管理 Java-AP之行爲，此等由Java-AP及與Java-AP通訊之外部裝置使用。但可設定資源上之任何其他種類之條件，用以管理該行爲。”資源”可爲軟體資源，諸如API，通訊網路資源，諸如與Java-AP通訊之通訊裝置，及硬體資源。 ”硬體”可爲行動站所含之硬體，諸如記憶器，揚聲器，微音器，紅外線輻射控制器，及發光二極體（LED)，及”硬體”亦可爲外部裝置，此與行動站合作，諸如使用者識別模組（UIM)及訂戶識別模組（SIM)。當然，’’通訊網路資源”應不限於通訊網路，諸如與行動站通訊之通訊裝置中之資源。如上述，行動站1 6與行動通訊網路無線通訊。在無線通訊之期間中，行動站使用無線通訊資源，諸如由行動通訊網路指定之無線電波道。無線通訊資源亦可用作上述之’，通訊網路資源”。同時，行動站可使用諸如傳輸徑路之通訊資源，用於資料包通訊’ 及線路切換系統之通訊徑路，用於通訊議定階層上之語音通訊，此等位置高於使用無線通訊資源之通訊議定階層。 -38 - (34) 1249927 亦可使用通肮資源於更高之通訊議定階層上，作爲上述之 π通訊網路資源’’。 ”軟體資源’’可爲ΑΡI，分類，套件等，如上述。軟體資源可提供各種功能及資料處理功能，諸如譯密資料，及資料通訊功能，諸如由其他軟體發送及接收資料，諸如網路瀏覽器爲一典型之功能。在本發明中，由上述外部裝置構成之軟體資源亦可用作條件之參數，用以限制Java-ΑΡ 之行爲。在上述實施例中，在可信任之Java-APP依許可資料行爲之前，JAM禁止可信任之Java-APP之一些型式之行爲。然而，JAM可管理Java-AP之行爲，當JAM偵得可信任之Java-APP欲以不符合許可資料中所指示之條件之方式行爲時，強制終止可信任之Java-AP之處理。在上述通訊系統中，軟體移送至行動站，但軟體亦可移送至其他型式之通訊裝置。在上述通訊系統中，通訊機構可作用如CP。渡是，管理伺服裝置及CP伺服裝置可置於同一通訊模式中。可提供由行動站之CPU執行之上述程式，諸如JAM 程式及〇 S程式，及其有關之資料，儲存於記錄媒體中， C P U能自其中讀取程式及資料，諸如磁記錄媒體，光S己錄媒體，及ROM。程式及資料可經由通訊網路，諸如網際網路提供至行動站。【圖式簡單說明】 -39 - (35) 1249927 圖1爲方塊圖，顯示本發明之一實施例之通訊系統之組態。圖2顯示通訊系統中所用之Sdf之內容之一例。圖3爲方塊圖，顯示通訊系統之組成件之行動站之組苜g 〇圖4顯示行動站之非揮發性記憶器中所儲存之內容之一例。圖5爲構想圖，顯示行動站之功能結構。圖6爲流程圖，顯示用以下載及安裝java_ ap軟體之行動站之程序。圖7爲流程圖，顯示用以開始java-AP軟體之行動站之程序。圖8顯不通訊系統中所用之s d F檢查回覆之一例。 Η 9藏不通g只系統中所用之$ d F檢查回覆之一例。圖1 〇爲順序圖，顯示通訊系統中一串操作。主要元件對照表 11網際網路 13 CP伺服裝置 13Α非揮發性記憶器 1 5行動訊包通訊網路 1 6行動站 16C顯示單位 16F通訊單位 -40- (36) (36)1249927 1 6 G操作單位 16H計時器 17門口伺服裝置 18管理伺服裝置

-41 -

Claims

1249927 …f ίί 1 lj ⑴ 拾、申請專利範圍第93 1 08720號專利申請案中文申請專利範圍修正本民國94年9月I9日修正 1 » —種通訊裝置，包含：一執行裝置，用以執行軟體；

一許可資料儲存裝置，用以儲存指示軟體程式之許可行爲之許可資料，此爲由執行軟體所提供之一群功能；一檢查裝置，用以在執行軟體之前，由進出外部裝置，檢查許可資料是否有效；及一執行控制裝置，用以根據檢查裝置執行檢查之結果，當決定許可資料爲有效時，許可該執行裝置執行軟體，及根據由執行裝置執行檢查之結果，當決定許可資料爲無效時，不許可執行裝置執行該軟體。

2 .如申請專利範圍第1項所述之通訊裝置，其中，通訊裝置另包含一決定裝置，用以決定是否需要由檢查裝置執行檢查，決定裝置根據決定裝置所作之決定，是否執行該檢查。 3 .如申請專利範圍第2項所述之通訊裝置，其中，決定裝置包含：一計數裝置，用以計數軟體之執行次數；及一頻率資料儲存裝置，用以儲存指示需如何頻繁執行檢查之頻率資料；且其中’ 該決定裝置根據由計數裝置計數之軟體之執行之次 1249927 數，並根據頻率資料儲存裝置中所儲存之頻率資料，決定是否需由檢查裝置執行檢查。 4.如申請專利範圍第2項所述之通訊裝置，其中，該決定裝置包含：一計時裝置，用以提供指示現時間之時間資料；及一時間間隔資料儲存裝置，用以儲存指示需要執行檢查之時間間隔之時間間隔資料；且其中，

該決定裝置根據由計時器所提供之時間資料，計算現時間及在最近執行軟時所記錄之時間之間之時間週期，並根據所計算之時間週期及時間間隔資料儲存裝置中所儲存之時間間隔資料，決定是否需要由檢查裝置執行檢查。 5 ·如申請專利範圍第1項所述之通訊裝置，其中，該通訊裝置另包含計數資料儲存裝置，用以儲存指示在檢查裝置不能執行檢查之條件中許可執行軟體之次數之計數資料；及

該執行控制裝置許可執行裝置在檢查裝置不能執行檢查迄至計數資料儲存裝置中所儲存之計數資料所指示之次數之條件中執行軟體。 6 ·如申請專利範圍第丨項所述之通訊裝置，另包含： ~更新裝置，用以自外部裝置獲得更新資料，並根據更新資料，更新許可資料儲存裝置中所儲存之許可資料。 7 ·如申請專利範圍第6項所述之通訊裝置，其中，當檢查裝置執行檢查時，更新裝置發送指示許可資料儲存裝置中所儲存之許可資料之最近更新之時間之更新時 -2- (3) (3) "Η 3 ' 又 1249927 間資料至外部裝置；接收由外部裝置反應更新時間資料之發送所發送之更新資料；及根據更新資料，更新許可資料儲存裝置中所儲存之許可資料。 8 ·如申請專利範圍第1項所述之通訊裝置，另包含：一終端裝置，當軟體程式欲執行不許可該軟體程式執

行之行爲時，指令執行裝置終止執行該軟體。 9 ·如申請專利範圍第1項所述之通訊裝置，其中，許可資料包含有關通訊裝置之內部硬體資源，通訊裝置之外部硬體資源，軟資源，及通訊網路資源之至少之一之使用之資訊。 1〇·—種用以控制通訊裝置之方法，包含：

一步驟用以發送許可資料至通訊裝置，此指示一軟體程式之許可行爲，此爲由執行通訊裝置中之軟體所提供之一群功能；一步驟用以在通訊裝置中執行該軟體之前，由通訊裝置及外部裝置間之通訊資料檢查許可資料是否有效；及一步驟用以僅當根據檢查結果，決定許可資料爲有效時，方許可執行該軟體。 11 · 一種電腦可讀取媒體，其具有一程式用以指令電腦執行：一儲存程序，用以儲存指示由執行軟體所提供之一群功能之軟體程式之許可彳了爲之許可資料於儲存裝置中·， -3- 1249927 JfVvX丨 (4) 一檢查程序，用以在執行該軟體之前，由進出一外部裝置來檢查許可資料是否有效；及一許可程序，用以僅當根據檢查結果，決定許可資料爲有效時，方許可執行該軟體。 1 2 ^ —種通訊方法，包含：一步驟用以自通訊系統發送軟體程式說明資料至通訊裝置，通訊系統包含：

(a) —軟體資料提供伺服裝置，此儲存軟體資料，包含用以提供形成一軟體程式之一群功能之軟體， (b) —管理伺服裝置，此儲存安全說明資料，包含許可資料，指示軟體程式之許可行爲，及 (〇 —軟體程式說明資料提供伺服裝置，此儲存軟體程式說明資料，指示軟體資料之儲存位置及安全說明資料之儲存位置，該方法包含；

一步驟用以自通訊系統發送軟體程式說明資料至通訊裝置；一步驟用以發送指示軟體程式說明資料中所含之安全說明資料之儲存位置之資料自通訊裝置至通訊系統；一步驟用以根據指示安全說明資料之儲存位置之資料，發送安全說明資料自通訊系統至通訊裝置；一步驟用以儲存安全說明資料於通訊裝置中；一步驟用以發送指示安全說明資料中所含之軟體資料之儲存位置之資料自通訊裝置至通訊系統； -4- 1249927 , ή 1 . ι (5) 一步驟用以根據指示軟體資料之儲存位置之資料，發送軟體資料自通訊系統至通訊裝置；一步驟用以安裝自通訊系統發送至通訊裝置之軟體資料中所含之軟體於通訊裝置中；一步驟用以在通訊裝置中執行軟體之前，由通訊裝置及通訊系統間之通訊資料檢查通訊裝置中所儲存之安全說明資料是否有效；及

一步驟用以僅當根據查結果，決定安全說明資料爲有效時，方許可在該通訊裝置中執行該軟體。

-5-